事業環境の変化に応じたセキュリティ対策を実現するために組織内CSIRTを設立
2015年4月1日時点で83チームが名を連ねる日本シーサート協議会(NCA:Nippon CSIRT Association)だが、その初期の段階から参画して社内外で広くCSIRTの活動に取り組んできたのが株式会社ディー・エヌ・エー(以下、DeNA)だ。同社は2011年12月に組織内CSIRT「DeNA CERT」を設立。社内におけるさまざまなセキュリティ強化施策に取り組むと同時に、NCAに加盟して他社のCSIRT組織とも積極的に交流を図ってきた。
こうしたDeNAのセキュリティ施策を先頭に立って牽引してきたのが、同社 システム本部 セキュリティ部 部長の茂岩祐樹氏だ。同氏はもともと、DeNAの創業間もないころからインフラの構築・運用を担ってきた生粋のインフラエンジニアだった。そんな茂岩氏がセキュリティ分野に転じたきっかけは、2010年ごろに生じた事業環境の変化にあったという。
「弊社はもともとフィーチャーフォン向けのゲームプラットフォームを主力ビジネスとしてきましたが、2010年ごろからスマートフォン向けサービスに進出することになりました。さらに同じころ、海外市場にも進出するようになり、この2つの事業環境の大きな変化に直面した結果、セキュリティ施策により本格的に取り組む必要があると考えたのです」
もともとDeNAでは創業当初から、ユーザーの個人情報の取り扱いに関しては全社一丸で万全の備えを講じてきたという。しかし、携帯キャリアのゲートウェイ以外からのトラフィックを一律にシャットアウトすればセキュリティを担保できるフィーチャーフォン向けプラットフォームとは異なり、スマートフォン向けサービスではどこからどんなアクセスが来るか分からない。ましてや、海外向けサービスに進出するとなると、悪意のあるアクセスにさらされるリスクは格段に高くなる。
同社では当時、セキュリティ施策は部門やサービスごとにばらばらに行われていたが、こうした環境変化に対応していくためには、社内横断的にセキュリティ施策を立案・実施できる組織が必要だと茂岩氏は考えた。そこで同氏が社内で募ったメンバーを中心に、2011年に「DeNA CERT」が設立された。情報システム部門のセキュリティ技術者を中心に、事業部門や経営企画部門、品質管理部門など社内各部門のキーマンが加わり、定期的に開かれるミーティングの場で社内のさまざまなセキュリティ課題の報告や検討を行う体制を作り上げた。
こうした活動に続き、それまで社外のセキュリティ企業に依頼していた脆弱性診断を社内で行う体制も整え、2014年4月にはセキュリティを専門に扱う部署である「セキュリティ部」を新たに設立。茂岩氏がその責任者に就き、セキュリティに関する活動をすべて社内でまかなう体制が完成した。